ch6数据库安全技术.ppt

6.5 数据库安全解决方案 由于SQL Server不能更改sa用户名称，也不能删除超级用户，所以，必须对此帐号进行严格的保管，包括使用一个非常健壮的密码，尽量不在数据库应用中使用sa帐号，只有当没有其它方法登录SQL Server时才使用 sa。始终保持对连接要求Windows身份验证模式。 　　在SQL Server的Enterprise Manager安装Windows身份验证模式步骤： 　　1）展开服务器组。 　　2）右键点击服务器，然后点击属性。 　　3）在安全性选项卡的身份验证中，点击仅限Windows。 　　3．在防火墙上禁用SQL Server端口 　　SQL Server的默认安装可监视TCP端口1433以及UDP端口1434。配置的防火墙可过滤掉到达这些端口的数据包。而且，还应在防火墙上阻止与指定实例相关联的其他端口。 6.5 数据库安全解决方案 　4．审核指向SQL Server的连接 　　SQL Server可以记录事件信息，用于系统管理员的审查。至少应记录失败的SQL Server连接尝试，并定期地查看此日志.尽可能不要将这些日志和数据文件保存在同一个硬盘上。 　在SQL Server的Enterprise Manager中审核失败连接步骤： 　　1) 展开服务器组。 　　2) 右键点击服务器，然后点击属性。 　　3) 在安全性选项卡的审核等级中，点击失败。 　　4) 要使这个设置生效，必须停止并重新启动服务器。 　　5．管理扩展存储过程 6.5 数据库安全解决方案 改进存储过程，并慎重处理帐号调用扩展存储过程的权限。SQL Server的系统存储过程只用于适应用户需求，有时能很容易地被利用提升权限或进行破坏，所以应删除不必要的存储过程。如果不需要扩展存储过程xp_cmdshell应去掉。使用SQL如下语句： use master sp_dropextendedproc xp_cmdshell 其中，xp_cmdshell是进入操作系统的最佳捷径，是数据 库留给操作系统的一个大后门。如果需要这个存储过程，可用如下语句恢复。 sp_addextendedproc xp_cmdshell, xpsql70.dll 6.5 数据库安全解决方案 如果不需要应去掉OLE自动存储过程（会造成管理器中的某些特征不能用）过程为： Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 注册表存储过程可能读出管理员的密码，应删除不需要的注册表访问的存储过程： Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 最好检查一下其他的扩展存储过程，但是，在处理时应当进行确认，以免造成误操作。 6.5 数据库安全解决方案 　 6．使用视图和存储程序分配给用户访问数据的权利 　　使用视图和存储程序以分配给用户访问数据的权利，而不是让用户编写一些直接访问表格的特别查询语句。通过这种方式，无需在表格中将访问权利分配给用户。视图和存储程序也可以限制查看的数据。如对包含必威体育官网网址信息员工表格，可以建立一个省略了工资栏的视图。 　　7．使用最安全的文件系统 　　NTFS是最适合安装SQL Server的文件系统，比FAT文件系统更稳定且更容易恢复。而且它还包括一些安全选项，如文件和目录ACL以及文件加密（EFS）。 　　8．安装升级包 　　为了提高服务器安全性，最有效的方法是升级SQL Server和及时的安全漏洞等更新。 第6 章 数据库安全技术 　9．使用基线安全性分析器(MBSA)评估服务器的安全性 　　MBSA是一个扫描多种Microsoft产品的不安全配置的工具，可在Microsoft网站免费下载，包括SQL Server等。可对下面问题用SQL Server进行检测： 　　1) 过多的sysadmin固定服务器角色成员。 　　2) 授予sysadmin以外的其他角色创建CmdExec作业的权利。 　　3) 空的或简单的密码。 　　4) 脆弱的身份验证模式。 　　5) 授予管理员组过多的权利。 　　6) SQL Server数据目录中不正确的访问控制表(ACL)。 　　7) 安装文件中使用纯文本的sa密码。 　　8) 授予guest帐户过多的权利。 　　9) 在同时是域